近期,美国的网络安全与情报机构联合发布了一份严正警告,指出来自伊朗国家支持及其关联的网络威胁行为正在显著升温,对美国的国防工业基地、运营技术网络(OT)以及关键基础设施构成极大风险。随着中东地缘政治局势复杂多变,这些网络攻击不仅针对传统的信息技术系统,更深度渗透至工业控制系统(ICS)和关键运营环节,试图破坏重要的国家安全支柱。美国网络安全与基础设施安全局(CISA)、联邦调查局(FBI)、国防网络犯罪中心(DC3)与国家安全局(NSA)联合发布的报告中强调,尽管当前尚无确凿证据表明伊朗发起了针对美国的全面协调性恶意网络攻势,但攻击活动正在焦灼地积累,企业和政府部门必须加强警惕。伊朗的攻击者多利用网络设备和应用中普遍存在的安全缺陷,包括未更新的漏洞补丁、默认或弱密码以及暴露于公网的系统端口。这些“低垂的果实”成为入侵的主要突破口。尤其是国防工业基础中的相关企业,特别是与以色列研究和防务机构有合作关系的单位,被认为风险尤为突出。
此外,美国和以色列的组织也成为分布式拒绝服务攻击(DDoS)和勒索软件活动的高频目标。过去的攻击经验显示,伊朗网络威胁团体会利用像Shodan这样先进的网络侦查工具寻找易受攻击的互联网暴露设备,特别是工业控制系统领域。一旦成功进入目标环境,攻击者往往利用网络分段不足和防火墙配置错误,迅速实现横向移动,进一步扩大影响范围。在技术手段上,伊朗攻击者不仅使用远程访问工具(RAT)和键盘记录器,还会借助合法管理员工具如PsExec和Mimikatz提升权限,从而逃避一般的终端安全防护。自动化的密码猜测、密码哈希破解及默认制造商密码依然是主要的攻击策略,尤为集中于各种暴露互联网的设备。更为令人关注的是,针对运营技术网络的入侵中,攻击者会应用系统工程和诊断工具,这代表了对工业环境的深入破坏能力。
与此同时,随着美伊当前紧张局势的加剧,国土安全部(DHS)发布公告警告美国组织注意来自支持伊朗的黑客组织的“低级别网络攻击”,尤其是在以色列与伊朗冲突加剧的背景下。针对特定群体的精心设计的鱼叉式钓鱼攻击也屡见不鲜。例如,APT35,一个被追踪为伊朗国家级黑客组织,通过伪造谷歌Gmail登录页面和Google Meet邀请,针对以色列的记者、网络安全专家及计算机科学教授窃取谷歌账户凭证。为了抵御日益复杂的网络攻击,建议组织采取一系列全面且细致的防护措施。基础工作包括彻底识别并断开运营技术及工业控制系统不必要的互联网连接,避免关键资产直接暴露在公共网络之上。同时,强化密码策略,使用强且唯一的密码替代易被猜测的默认密码,并严格实行多因素身份验证(MFA),特别是对进入运营技术网络的访问。
为强化身份验证的韧性,实施抗钓鱼的多因素认证机制至关重要。此外,保持系统补丁的及时更新,随时修补已知漏洞,是防止攻击者利用历史漏洞入侵的关键环节。对远程访问操作日志的持续监控对于及时发现异常访问行为拥有极大帮助。在运营技术层面,建立完善的流程以防止未授权变更、操控丢失及视野丧失同样重要。建议组织构建全方位的数据及系统备份体系,确保在遭遇网络攻击尤其是勒索软件时能实现快速恢复。针对如何开启防御工作的建议是,首先对外部攻击面进行深入分析,包括检测暴露的系统及端口、识别存在的过期服务。
此环节可借助CISA的网络卫生计划或开源扫描工具如Nmap完成。采用MITRE ATT&CK框架来映射可能使用的攻击策略,有助于优先保障最脆弱及最高风险环节。独立安全评估公司Censys近期发布的报告亦指出,截至2025年6月,全球存在数万台暴露于互联网的关键工业控制设备,其中Tridium Niagara设备超过43000台,主要集中在德国、瑞典和日本。尽管这些设备多用于楼宇自动化,不一定是最具价值的攻击目标,但暴露数量本身就为攻击者提供大量潜在突破口。美国高数量的暴露设备表明其关键基础设施面临严峻外部威胁。同时,默认密码的普遍问题仍未得到根本解决,制造商需取消设备初始默认凭证,推动强密码使用以及防止设备直接互联网暴露的设计理念。
根据安全情报公司SOCRadar,2025年伊朗与以色列冲突期间,6月12日至27日期间Telegram上超过600次网络攻击声明被记录,以色列承受了最为猛烈的攻击,占全部攻击的近75%,其中大部分为针对政府、国防、电信、金融及科技行业的分布式拒绝服务攻击。多达80多个活跃的黑客组织在此期间发起或支持针对以色列盟友的攻击,部分被认为为伊朗支持或直接指挥的伪装黑客实体。意识形态驱动的黑客活动现已成为现代战争不可忽视的一环。各种独立黑客团体和国家级支持的伪装组织均以此为契机,在地缘政治冲突中寻求战略利益,展示了网络战的高度活跃与复杂。综上所述,伊朗网络威胁对美国及其盟友的国防和关键基础设施安全形成了切实且持续的挑战。面对动态演化的威胁格局,只有通过强化网络防御战略、完善技术与管理手段、提升整体网络安全意识,才能有效减轻攻击带来的风险,保障国家安全与关键业务的稳定运营。
在未来,随着相关技术的不断进步与国际局势的发展,网络安全领域的持续投入与创新将尤为关键。
